問:最近思科的研究人員發現一個木馬網絡,透過散播假的WeChat軟件來植入木馬。最值得注意的是,有不少人中招是因為在某些網頁上看見相關廣告,繼而懵懵然點開了假網站,再從中下載了假軟件。黑客透過投放廣告的方法去散播木馬,難道就不擔心會將自己的行蹤暴露嗎?
李建軍:首先,有部分網站,谷歌Ads並非唯一廣告供應商,近年由於Google Adsense所派廣告的分紅不如前,部分網站於是參與了其他公司提供的廣告計劃,而這些公司當中有部分是由俄羅斯、烏克蘭和中國人設立,他們部分本身就與黑客和犯罪分子關係密切。因此,黑客要透過廣告去播毒,其實無大家想像中難。
另一方面,谷歌Ads一直有向部分新用戶提供大額廣告優惠,甚至免費奉送一些廣告額,這個機制很容易被濫用,有部分黑客不斷透過建立新帳戶來投放有毒廣告。較早在多個不同香港網站出現,以郭富城來惡搞的廣告,就是有俄羅斯人濫用此優惠的結果。而就算是谷歌Ads都不代表百分百安全,因為谷歌審批人員,其實先用人工智能系統審查廣告,黑客可以在送審版本先暪過人工智能系統,在成功獲批後再更改網站內容,等到用戶作出投訴,或有關黑客未有如期支付款項時谷歌再跟進,一切都已經太遲。當然更糟糕的情況,就是黑客成功入侵並無做好二步認證的谷歌廣告帳戶,然後再用被入侵帳戶投放廣告。因此,黑客借投放廣告來散播木馬或病毒,其實並無想像中難做。
另外,思科研究人員指出那些播毒廣告以WeChat為目的,由此可以估計,華人是這裡陷阱的目標受眾。而中國當局千方百計搜集海外華人的活動數據。這兩件事背後可能有關聯。
國內翻牆上網的用戶因此更應警覺,因翻牆時用的是海外IP,遇到這類廣告攻擊機會就更高了。因此,翻牆上網時切記不應亂點擊廣告。中國當局的攻擊手段是全方位的,而且所用的方法,有部分是相當出人意表。
問:在中國網站的廣告,有相當部分來自百度之類,又是否代表避免到類似問題?
李建軍:並非如此,這類針對WeChat的黑客,正如上面所分析,相信與中國當局有關,中國的公司為了配合政府要求,隨時有份縱容這類根本上與播毒無異的廣告,因此,要堅持在官方網站以及App Store、Play Store下載軟件的基本原則,以策安全。
問:黑客既然可以用廣告來播毒,那網民在點擊廣告時,又應注意甚麼才安全?
李建軍:首先,網民對那些要求下載軟件的廣告必須小心提防,不要亂點擊。如果你對廣告有懷疑,可以先在手機或平板電腦點擊,因為手機和平板電腦都比較難安裝軟件,要將木馬安裝到手機或平板電腦上並非這樣容易。
用手機和平板電腦點擊廣告另一好處在於,假如所使用的手機和平板電腦本身已有安裝廣告所聲稱的應用程式,假如這些廣告是正常的,那麼系統應該直接跳到相關應用程式,而會略過手機或平板電腦的瀏覽器,一般而言,應用程式瀏覽是比較安全。但假如點擊這些廣告後,並非跳到應用程式,而是跳到瀏覽器,那證明相關廣告可能是假的,誤導你去到釣魚網站,那你就必須加以防範,立即離開相關網站以策安全。
不要亂按廣告是最基本和簡單防止自己成為受害者的方法。此外,盡量在官方網站、App Store或Play Store下載軟件,不要去一些不明來歷網站下載軟件,因為在這些網站下載軟件中招的機會是十分之大。
在網上投放的廣告,其實不能盡信,因為黑客總有辦法利用人心的漏洞作出攻擊。黑客攻擊本身,並非純粹尋求技術漏洞,亦尋求人心的漏洞,利用人類的思考盲點或心理弱點作出攻擊,所以防止黑客本身,並非純粹針對一些有問題的程式代碼這樣簡單,亦涉及公眾教育。